Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護JISQ15001要求事項を読み解こう 3.3.1 個人情報の特定
2006年12月05日17時15分 / 提供:ネットセキュリティ
プライバシーマークやISO27001などの認証取得のコンサルティング業務の
一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/column10.html
こんにちは。今回は前回に引き続き、JISQ15001:2006の要求事項を読み解いてみたいと思います。
今回対象とする要求事項は、「3.3.1 個人情報の特定」です。
本要求事項の主旨は、「自社で取り扱っている個人情報を明確にしなさい」ということになります。
さて、なぜPマークを取るにあたりこのようなことを実施する必要があるのでしょうか?
それは、「保護の対象を明確にするため」です。
Pマークの対象はあくまで個人情報であり、認証を取るためにはそれらを適切に取り扱い、保護するルールを作る必要があります。
対象が不明確な状態でルールを作ってしまうと漏れがあるかもしれません。その結果、守るべき個人情報が守られていない状態になってしまうおそれがあるのです。
ですから、この要求事項を使って自社で取り扱う個人情報(=保護の対象)を明確にする必要があるのです。
ここまで説明すると、本要求事項で具体的に実施しなければならないことが分かってきます。
皆様がやるべきことは、自社にある個人情報(紙、電子媒体、デジタルデータ)を洗い出すことです。
履歴書、経歴書、名刺、健康診断の結果、株主名簿、顧客データベース、メルマガ購読者情報等々、社内には数多くの個人情報が存在しているはずです。それらを漏れなく洗い出し、まとめましょう。
この作業を実施するにあたり気をつけなければならないこととして、「個人情報の定義をはっきりさせる」ということが挙げられます。
特に現場に洗い出し作業を実施してもらう際は、「何をもって個人情報とするのか」を共通認識として持たせないと、洗い出しに漏れが出てしまいます。JISQ15001における個人情報の定義は、基本的に個人情報保護法と同じです。ただし、保護法と異なり、故人の情報も含まれるので注意が必要ですね。
また、本作業時にお客様から「社内の事務手続きで使用している申請書類等、細々したものも洗い出しの対象になるのですか?」という質問を受けることがあります。
この質問に対する答えとしては、規格を厳密に解釈すると「YES」になると思われます。
ただし、実際の審査においてはその辺りを大目に見てくれる審査員もいるようですので、結果的にはケースバイケースだと思います。
上記のようなことで悩んだ場合、そもそもの目的に戻りましょう。
保護の対象が明確になればよいわけですから、それができていればOKとし、そこから先は審査員に判断してもらえばよいのです。
完璧を求めるあまり、このフェーズに時間をかけすぎるのは非効率のような気がします。
さて、本要求事項ではもう1つ要求されていることがあります。それは、洗い出した個人情報の“ライフサイクル(入手〜保管・廃棄までの流れ)”を明確にするということです。
規格の本文にはそのようなことは書かれていませんが、規格の解説部分には、「特定した個人情報については、その取り扱い状況を一覧できる手段を整備する必要がある」と書かれています。
例えば、履歴書であれば以下のような感じです。
取得:応募者から郵送でいただく
一時保管:・面接まで人事部の施錠可能なキャビネットに保管
・面接終了後は廃棄までの間人事部の施錠可能なキャビネットに保管
利用(複写):面接官分コピーを取る
移送:・支社で受領したものは本社人事部にFAXで送る
・不合格者分は配達記録付きの郵便で応募者に送る
廃棄:シュレッダーで裁断する
このライフサイクルの洗い出しは、リスク分析のインプットになりますので、漏れがないように、かつ細かく洗い出すようにしてください。
細かくというのは、“誰が”という主体や、“どのように”という手段を明確にするという意味です。
そして最後に、これら洗い出しの結果は、定期的に見直す必要があるということです。
最近の審査では定期的な見直しの手順が抜けていると、指摘を受けることがあります。
時間の経過と共に社で取り扱う個人情報は変化するでしょうし、取り扱いプロセスも変わる可能性があります。
保護の対象である個人情報が網羅され、リスク分析が行われ、結果として適切な管理措置が講じられるように、見直しは必要なのです…
【執筆:浦名祐輔】
※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column10.html
Ads by Google
コメントするにはログインが必要です
関連ニュース:クマ
- 「トトロは死に神」「しまむらにはエルフがいる」――ネットで話題の都市伝説
はてなブックマークニュース 11月27日17時59分(5) - 酒井若菜の「泣ける」ブログ 「アノ恩人への感謝」が評判にJ-CASTニュース 11月25日17時14分(3)
- ダニエル・クレイグとヒュー・ジャックマン、舞台上演後にオークション開催シネマトゥデイ 11月27日20時46分
- 富士通、「平成21年度地球温暖化防止活動環境大臣表彰」を受賞シゴトの計画 11月27日20時03分
- 【mixiアプリ】大ヒットの予感?!『みんなで暮らそう!ひつじ村』ガジェット通信 11月27日19時00分
ITアクセスランキング
- 『ドリームハック』脅威のゲームブッ続け4日間! その場でダウンする者もガジェット通信 27日22時20分(2)
- 「トトロは死に神」「しまむらにはエルフがいる」――ネットで話題の都市伝説はてなブックマークニュース 27日17時59分(5)
- テレ朝のコメンテーター「我々も(民主党)の支持率を下げないでね、辛抱して支えてるのに・・・」発言にネットは騒然!ロケットニュース24 27日15時34分(27)
- グーグル参入で新OS戦争勃発!マイクロソフト戦略大転換の成否(下) ダイヤモンド・オンライン 27日11時05分(11)
- 【トレビアン】ニコニコ生放送のリスカ騒動は釣りだった? ひろゆきも釣られるトレビアンニュース 27日11時20分(12)
- 【mixiアプリ】大ヒットの予感?!『みんなで暮らそう!ひつじ村』ガジェット通信 27日19時00分
- Windows 7の登場で“元祖Netbook”はどうなった!?――「Eee PC 1005HR-WS」徹底検証+D PC USER 27日14時38分
- ソニー、またも痛恨のミスに謝罪!一部のパソコンが低温時に起動しない不具合ITライフハック 27日07時00分(7)
- インターネット生放送でリストカットを放送し視聴者が騒然ロケットニュース24 25日10時03分(7)
- まさにコロンブスの卵!世界初のスライド式2画面ノートPCが発売へITライフハック 27日13時00分(6)
Amazon ランキング
|
|
|
|
|
|||||
注目の情報
47才の男が使うと…今、このシャンプーが90万本もバカ売れしている。なんでも通販のみ
にも関わらず、「毛髪に悩む男性」に凄く売れてるのだと。試しに注文
してみると…「えーっ!」と驚くほど。それは47才の…
ある男が語る秘密≫
![[新製品]日本エイサー、Core i7搭載AVノートのフラッグシップモデル](http://image.news.livedoor.com/newsimage/2/d/2d25f_58_4f1038b8299a4ee4c44ea4956276bfbc-s.jpg)
![偽セキュリティ対策ソフトの脅威が再拡大 〜 10月のウイルス・不正アクセス状況[IPA]](http://image.news.livedoor.com/newsimage/7/8/78f52_58_339ac550f54d5427383243ea184dbca4-s.jpg)
行きの電車、帰りの電車で